歐盟想要吃隱私自助餐,結果可能得到次級服務
這篇是對 歐盟法院希望將「被遺忘權」擴展至全球範圍,將使 Google 等網路服務面臨更大壓力 - INSIDE 的感想
在 GDPR 實行之後,各企業都做出了相對應的措施,有些小媒體選擇直接不服務歐盟地區,大公司像臉書直接選擇把非歐盟用戶移出歐盟管轄區 降低GDPR衝擊,臉書遭爆悄悄把15億用戶移出歐盟管轄區 | iThome
不過歐盟法院最近則想要更進一步將 GDPR 的標準延伸到所有「非歐盟地區」的歐盟居民,換句話說,只要你是歐盟居民,你跑到台灣旅遊、跑到美國工作,在使用服務的時候,這些公司也都要符合 GDPR。
在提出抗議內容裡,Google認為各地區對於用戶隱私要求規範標準不一,歐盟法院不應單方面以歐盟用戶「被遺忘權」要求非歐盟所屬地區施行相同規範。但以歐盟法院立場認為,則是建立在確保所有歐盟居民「被遺忘權」適用範圍,除了主張歐盟居民無論身處何處上網,應享有相同「被遺忘權」,同時更認為Google應可藉其定位技術,清楚識別哪些資訊存放在歐盟所屬地區境內。
企業的技術成本將大幅提高
若單純以技術來看,使用 IP 與 GPS 作為辨認是否為歐盟居民的方式,是最直接有效的,但歐盟法院想要打破「使用區域」的認定,改採「人」的認定,因此除非在註冊時強迫所有使用者提供國籍識別,否則單靠 IP 與 GPS 便無從得知是否為歐盟居民。
光是要辨別是否為歐盟居民就不是一件簡單的事情,再加上各國對隱私要求標準都不同,因此若真的要符合歐盟法院標準,將會出現歐盟居民在美國使用、歐盟居民在日本使用,等等數不清的組合。
於是,按照歐盟法院的標準,跨國企業要將使用者按照國籍存放也不是、按照使用地區存放也不是。更重要的是這些數據的使用將會變得非常零散,直接增加了機器學習訓練模型的難度。
試想今天只要有一個歐盟使用者在任何一個地區執行被遺忘權,那麼整個地區的資料流都必須全部洗掉重來、AI 模型也都必須重新訓練,才能讓這個使用者真正的「被遺忘」。(當然,要怎麼驗證模型裡面還存在著應該要被刪除的歐盟使用者,這在技術上也有很大的挑戰,這裡就先不提。)
歐盟法院可能完全無法理解數據是怎麼被儲存、使用的,因此才會提出這樣令人費解的要求。
歐盟沒理解到免費服務本來就該有代價,而這個代價就是數據
難道歐盟不應該替他們的居民把關隱私嗎?或者說,隱私不重要嗎?不,隱私當然重要。
但現今的假免費(按:看似免費,其實用個資+廣告賺錢)服務,都是建立在歐盟使用者已經「出賣」他們的隱私之後,才能得到的方便。
你免費用臉書服務,臉書拿你個資賺錢,若是雙方合理使用,那這筆交易天經地義。
但是當臉書未經同意拿你的個資賣給別人、洩漏出去、或是把持網路流量之後又將商業行為放在社交服務裡面魚目混珠,那就不太對勁了。
同樣地,使用者既想要完全免費使用,又不願意付出任何數據(個資、瀏覽行為、貼文、相片等所有記錄)讓臉書分析,一樣是不合理的要求。
而我不覺得歐盟敢替所有居民決定使用次級服務 ,所以很有可能是歐盟既想要原本服務的好處,又要奪回自己的個資主導權,如果真是如此,歐盟這樣做就變成一種天真又自私的「自助餐」想法,而堅持執行這種想法的下場,可能就是反過來讓歐盟居民的服務直接受限,或是降級。(但長遠來看不一定是壞事)
如果我是臉書
如果我是 Facebook,第一個想到的作法就是多一個實名審核程序證明歐洲人身分,然後針對歐盟居民提供「特殊服務」:帳號將被放在獨立伺服器裡面,使用的服務也會是「特別版」。
換句話說,這個獨立伺服器得資料流將會完全獨立、訓練的模型也只能用這些少數的數據,以便將來要刪除時不會影響到全球,這當然就會直接影響到推薦服務的準確性,也會影響到廣告收益,也因為賺得比較少,使用者可能就會體驗到流量比較慢、功能比較少、優惠比較低等等的次級服務。(再強調一次,這不一定是壞事)
歐盟是自私,還是想要牽制跨國企業、影響其他國家政策?
身為非歐盟人,我當然對於「歐盟居民在我的國家享有 GDPR,而我自己卻沒有」感到不平,我們可以理解為歐盟的自私;但反過來,或許也可以想成是對跨國企業的牽制,迫使他們對各國政策都使用更嚴謹的個資保護政策。
不過真要我猜的話,每個國家對於隱私的政策實在無法一概而論,所以我個人還是傾向認為前者多一些,更進一步得推論只能留待往後觀察。
如果對這篇文章的主題有興趣一起討論,或是對寫作有任何想法,都歡迎加入Telegram中文寫作交流群組一起討論喔!